نشت دادههای کاربران ChatGPT بار دیگر نگاهها را به سمت چگونگی محافظت از اطلاعات شخصی در خدمات هوش مصنوعی جلب کرده است. این حادثه زمانی مطرح شد که OpenAI تأیید کرد بخشی از دادههای کاربران از طریق یک سرویس تحلیلگر خارجی افشا شده است.
جزئیات حادثه و اطلاعاتی که افشا شد
OpenAI در بیانیهای اعلام کرد که نشت دادهها ناشی از نقص امنیتی در سرویس تحلیلی Mixpanel بوده و هیچگونه نفوذی به سیستمهای خود OpenAI رخ نداده است.
این شرکت تأکید کرد که این رویداد «نقض امنیتی سیستمهای داخلی OpenAI» محسوب نمیشود. اطلاعاتی که در این حادثه در معرض دید قرار گرفته شامل نام، آدرس ایمیل و شناسههای کاربری محدود بوده است.OpenAI هشدار داد که هیچ محتوای گفتوگوی کاربران با ChatGPT، هیچ درخواست API، رمز عبور، کلید API، مدارک هویتی یا اطلاعات پرداختی در این نشت حضور نداشته است.
طبق توضیحات منتشر شده، Mixpanel در تاریخ ۹ نوامبر از حضور مهاجم مطلع شده و سپس مشخص شد که فرد نفوذگر توانسته به بخشی از دادههای این سرویس دسترسی پیدا کرده و مجموعهای از دادههای تحلیلی و اطلاعات قابلشناسایی محدود را صادر کند.
واکنش OpenAI پس از نشت دادههای کاربران ChatGPT
OpenAI پس از این حادثه استفاده از Mixpanel را بهطور کامل متوقف کرد و اعلام نمود که این نقص امنیتی نه از سوی آنها، بلکه از طریق سرویس طرف ثالث رخ داده است. این شرکت اعلام کرد که از این پس استانداردهای امنیتی سختگیرانهتری برای تمامی شرکای خارجی اعمال خواهد کرد
.OpenAI همچنین از کاربران خواست نسبت به ایمیلهای فیشینگ و حملات مهندسی اجتماعی هوشیار باشند، زیرا مهاجمان ممکن است از همین اطلاعات محدود برای فریب کاربران استفاده کنند.
کاربران نیز تشویق شدهاند که احراز هویت چندمرحلهای را فعال کنند تا امنیت حسابهای خود را افزایش دهند.
این حادثه با وجود اینکه اطلاعات بسیار محدودی را شامل میشود، اما بار دیگر اهمیت توجه به امنیت دادهها در زمان استفاده از ابزارهای هوش مصنوعی را یادآوری کرده است و موضوع نشت دادههای کاربران ChatGPT را به بحث روز تبدیل کرده است.
دیدگاه کارشناسان امنیت سایبری درباره نشت دادههای کاربران ChatGPT
کارشناسان امنیت سایبری میگویند حتی هنگامی که شرکتها از سرویسهای معتبر و شناختهشده استفاده میکنند، ارسال دادههای قابلشناسایی به شرکتهای ثالث همیشه خطراتی در پی دارد.
موشه سیمان توف بوستان، سرپرست تیم پژوهش امنیت در شرکت OX Security، توضیح میدهد که Mixpanel دادههایی مانند ایمیل و موقعیت کاربر را جمعآوری میکرد که برای بهبود محصول ضروری نبود و همین موضوع میتواند با اصل کمینهسازی داده در مقررات GDPR تضاد داشته باشد.
او تأکید میکند که همه شرکتها، از غولهای تکنولوژی تا استارتآپهای کوچک، باید در ارسال دادههای کاربران به سرویسهای خارجی بیشترین دقت را داشته باشند و اطلاعات شخصی را تا حد ممکن ناشناس یا رمزگذاری کنند تا از احتمال نشت داده جلوگیری شود.
این حادثه نشان میدهد هر دادهای که به خارج از سیستم اصلی ارسال میشود میتواند یک نقطه آسیبپذیر باشد، و نشت دادههای کاربران ChatGPT یادآور مسئولیتی است که شرکتهای فعال در حوزه هوش مصنوعی باید در قبال حفاظت از دادههای کاربران برعهده بگیرند.
